Configuration du VPN Palo Alto Network pour le protocole RADIUS de LastPass Universal Proxy

La version officielle de ce contenu est en anglais. Une partie du contenu de la documentation GoTo a été traduit automatiquement pour en faciliter l’accès. GoTo n’a aucun contrôle sur le contenu traduit automatiquement, qui peut contenir des erreurs, des inexactitudes ou des termes inappropriés. Aucune garantie n’est émise, expresse ou implicite, quant à l’exactitude, la fiabilité, l’adéquation ou la justesse de toute traduction de l’original anglais vers toute autre langue, et GoTo ne peut pas être tenu responsable de tout dommage ou problème lié l’utilisation que vous faites de ce contenu traduit automatiquement ou de la confiance que vous pourriez accorder à ce contenu.

Configuration du VPN Palo Alto Network pour le protocole RADIUS de LastPass Universal Proxy

À propos de cette tâche :

Remarque : Seuls les modes Password Authentication Protocol (PAP) et Challenge Handshake Authentication Protocol (CHAP) sont pris en charge par le service.

Activer la génération de cookies sur le portail GlobalProtect

Allez à Network (Réseau) > GlobalProtect > Portals.
Ouvrez votre Profil de portail.
Cliquez sur l’onglet Agent et cliquez sur Agent Config (Configuration de l’Agent).
Dans la fenêtre de Configuration, onglet Authentication, cochez Generate cookie for authentication override (Générer un cookie pour remplacer l’authentification) .
Cliquez sur OK.

Activer l’acceptation des cookies dans la passerelle GlobalProtect

Naviguez jusqu’à Network (Réseau) > GlobalProtect > Gateways (Passerelles).
Ouvrez votre Gateway Profile (Profil de passerelle).
Cliquez sur l’onglet Agent.
Cliquez sur l’onglet Client Settings (Paramètres Client)et ouvrez Client Config (Configuration du client) .
Dans la fenêtre de Configuration, onglet Authentication Override, cochez Accept cookie for authentication override (Accepter les cookies pour remplacer l’authentification).
Cliquez sur OK.

Définir le délai d’attente de la connexion GlobalProtect à 60 secondes sur le serveur Palo Alto

Augmentez le délai d’attente d’authentification à 60 secondes.

Remarque :

Comme app LastPass Authenticator le délai d'attente de la notification push est de 60 secondes, défini à 60 secondes.

Le délai d’attente d’authentification est calculé comme suit : définir un délai d’attente de connexion – 5 secondes. Le délai d’attente par défaut est de 30 secondes, ce qui fait que le délai d’authentification par défaut est de 25 secondes.

Vous ne pouvez modifier les paramètres du délai d’authentification qu’à partir de l’ILC

SSH dans le serveur Palo Alto à partir de la ligne de commande.
Exécutez la commande suivante pour augmenter le délai d’attente par défaut à 60 secondes :
```
vpnadmin@paloaltovpntest> configure
Entering configuration mode
[edit]
vpnadmin@paloaltovpntest# set deviceconfig setting global-protect timeout 65
[edit]
vpnadmin@paloaltovpntest# commit
```
Remarque : Pour définir le délai d’attente à 60 secondes, ajoutez timeout 65, 5 secondes de plus, en raison du temps de calcul du serveur.
Exécutez la commande suivante pour vérifier les paramètres précédemment modifiés :
```
vpnadmin@paloaltovpntest#  show deviceconfig setting global-protect
```
Résultat :
Si défini correctement, le résultat suivant s'affiche:

global-protect { timeout 65; }

Ajouter un profil de serveur RADIUS

Dans le portail d’administration réseau de Palo Alto Network, passez à Device (Appareil) > Server Profiles (Profils de serveur) > RADIUS.
Cliquez sur Add pour ajouter un nouveau profil de serveur RADIUS.
1. Dans le champ Profile name , entrez un nom de profil.
2. Dans le cadre Server Settings (Paramètres du serveur), définissez les éléments suivants :
  
  Timeout (sec) (Délai d’attente (en secondes))
  
  61
  
  Retries (Nombre de tentatives)
  
  1
  
  Authentication Protocol (Protocole d’authentification)
  
  PAP
Dans le cadre Servers, cliquez sur Add (Ajouter).
1. Entrez un Nom pour identifier le serveur.
2. Entrez l’adresse IP ou FQDN du serveur RADIUS.
3. Entrez le secret de RADIUS qui doit être le même secret que celui défini dans la configuration d’Universal Proxy.
4. Entrez un numéro de Port, 1812 par défaut pour l’authentification.
Cliquez sur OK pour enregistrer le profil du serveur.

Affecter le profil de serveur RADIUS à un profil d’authentification :
Sélectionnez Authentication Profile (Profil d’authentification) dans la navigation de gauche.
Cliquez sur Add (Ajouter).
Entrez un Nom pour le profil d’authentification, il sera attribué à la configuration de GlobalPortal.
Dans l’onglet Authentication, définissez les éléments suivants :
- Pour le menu déroulant Type, sélectionnez RADIUS.
- Pour le menu déroulant Server Profile (Profil de serveur), sélectionnez le profil RADIUS précédemment configuré.
Dans la fenêtre Authentication Profile (Profil d’authentification), cliquez sur l’onglet Advanced.
Dans le cadre Allow List, Ajoutez les utilisateurs et groupes autorisé à s’authentifier avec ce profil d’authentification.
Cliquez sur OK pour enregistrer le profil d’authentification.

Résultat: Vous avez configuré l'authentification RADIUS pour votre VPN Palo Alto.